Embed Size (px)
Citation preview
2
目次
1.ITリスク学が必要になった背景
2.ITリスク学の概要
3.ITリスク学の一アプローチ
多重リスクコミュニケータ(MRC)
4.ITリスク学研究会の進め方
3
ITリスク
安全・安心
逆から見た概念ITリスク(Risk)
ITリスク(Risk)
低減対策
広義のセキュリティ
Security
Privacy
Reliability
Safetyなど
広義のセキュリティ広義のセキュリティ
TrustTrustニュー・ディペンダビリティ 確率論的扱いが
不可欠
影響 x発生確率
4
代表的ITリスク<発生原因>
故意の不正
故障・エラーなど
<評価指標>
広い指標
狭義のセキュリティの指標
個人情報漏洩
2000年問題
大規模情報システムのバグによるシステムダウン
暗号の危殆化
サイバーテロ
△不正侵入△ウイルス被害
デジタルフォレンデジタルフォレンデジタルフォレンデジタルフォレンジックジックジックジック
◎◎
従来の研究領域
5
リスクvsリスクの時代
9.11事件の後のテロ対策時の多くの発言
「こんなことが繰り返されてはならない。あらゆる手段を講じて再発を防止しなければならない。」
それに対する米国の有名な暗号学者でセキュリティコンサルタントのブルース・シュナイアー氏は
「そのような言葉に耳を傾けてはならない。これは恐怖にとらわれたものの言葉、典型的なナンセンスである。恐怖を乗り越え、賢明なトレードオフとは何かを考えなければならない。」
これは、どんな対策をとってもテロを完全になくすることは不可能であり、その対策によって生じる新たなリスクとテロのリスクとの間で真剣な比較検討が必要であり、バランスを欠いた対策は、プライバシーや人権の問題を引き起こすということを言っているのであろう。
6
リスクvsリスクの時代
セキュリティセキュリティセキュリティセキュリティ
プライバシープライバシープライバシープライバシー
コストコストコストコスト
技術による解決技術による解決技術による解決技術による解決
<例><例><例><例>
公開鍵証明書の利用公開鍵証明書の利用公開鍵証明書の利用公開鍵証明書の利用
属性証明書の利用な属性証明書の利用な属性証明書の利用な属性証明書の利用などどどど
技術技術技術技術
○○○○○○○○
○○○○
○○○○
関与者の選好関与者の選好関与者の選好関与者の選好
関与者の選好関与者の選好関与者の選好関与者の選好
多くの関与者が異なる選好を持つ
(リスクコミュニケーションが重要に)
エネルギー問題解決のためのバイオエタノールの利用=>食糧問題に
7
ITリスクへの対応法の基本認識(1)
(1) ITシステムの安全性確保のため故意の攻撃だけでなく偶発的障害もITリスクの対象とすべきである。そのため、従来のセキュリティだけでなくSafetyやReliabilityも対象とすべきである。
(2)ITシステムは常に安全性が失われる可能性を確率的に
持っておりゼロリスクはないという認識を持つべきである。
(3)したがって対策の順位付けには定量的リスク評価あるいは準定量的リスク評価が不可欠である。
(4)1つのリスクへの対策が別のリスクの原因になる「Risk vs.
Risk」あるいは「多重リスク」への考慮が不可欠である。
(5)対策の決定に当たっては多くの関与者とのリスクコミュニケーションが大切である。
8
ITリスクへの対応法の基本認識(2)
(6)ITリスクの顕在化は確率現象であり1つの対策だけで事前
対応するのは困難であり、いろいろな対策の組み合わせが必要な場合が多い。(7)確率的に起こる現象への対策は一般に困難であり、対策がうまく行かない場合があるので、その場合に備えた危機管理も不可欠である。(8)リスクマネジメント・リスクアセスメント・リスクコミュニケーションが対策のITリスク対策の3本柱でありこれらへの総合的ア
プローチが必要となる場合が多い。(9)確率現象に対する人間の合理的対応は一般に困難であり、なぜ困難であるかの研究や、合理的に対応できるようにするための研究が不可欠である。
9
ITリスク学の構成
情報工学・ソフトウェア工学
情報セキュリティ
信頼性・安全性工学
心理学社会学経済学
リスク学
ITリスク心理学
ITリスク学
基礎
応用
事前 事後
ITリスク社会学
ITリスクリテラシイ
危機管理
安全学
ITリスク関連法・ガイド
ITリスク対策基礎技術
ITリスクマネジメント
ITリスクアセスメント
ITリスクコミュニケーション
多重リスクコミュニケータ運用
基盤となる学問
10
ITリスク学の構成要素ITリスク心理学
ITリスクに対する人々の認知活動の特徴を把握したり、適切なリ
スクコミュニケーションを行なったりするための基礎となる学問である。人々が、ITリスクに適切に対応し、安全なものに安心感を
持ち、危険なものを危険と認識するようになっていくのに不可欠なものであると考えられる。
通常のリスク心理学と違いがあるのかないのかを明確化する必要がある。
11
ITリスク社会学
(a)社会や組織が、このようなITリスクにどのように
関わっていく傾向があるかの分析や、
(b)マスメディアの対応方法など
いろいろな研究課題があると考えられる。
谷山らの「2000年問題に対するリスクコミュニケー
ションの研究」もここに位置づけられる。
12
ITリスク対応の法令
個人情報保護法、会社法、金融商品取引法などがある。
これらの法令は企業に対し、いろいろなITリスクの低減対策を促進するものとして機能する。また、情報セキュリティマネジメントシステムや事業継続管理のように、ITリスクを低減するためのガイドや制度がある。
これらの、法令や制度のあるべき姿や、企業として法令遵守などを効率的に実施していく方法も今後の研究課題であろう。
ITリスク法学ということでの研究対象にもなりうる
13
ITリスクリテラシ
ITリスクに適切に対応するための基本能力のことで、ゼロリスクはないといった基本的認識や、ITリスクへの対応方法の概要を知っていることなどをさすことにしよう。
このリテラシは、リスク対策実行者、一般の人々、専門家、マスメディア関係者、ITリスク対策を行う人で共通する部分と独自に必要となる部分がある。
14
危機管理
リスクマネジメントが、災害が起こる前の対策を対象とするのに対し、危機管理(クライシスマネジメント)は、災害が起こってからの対策を主な対象とする。
災害が起こっても事業をできるだけとめずに実行していくBCP,BCMなどの対応方法などが含まれる。
15
ITリスク対策基礎技術
ITリスク学に必要な基本的技術といったようなざっくりした定義
をしている。
従来のセキュリティ対策技術や信頼性・安全性対策技術と重複する部分が多いと思う。また、ITリスクマネージメント・ITリスクアセスメント・ITリスクコミュニケーション、ITリスク心理学、危機
管理学など分野を切り分けたものとの切り分けが困難な部分も多い。
とりあえず、これらの分野を渡って必要となる基礎技術を扱うことにすべきではないかと考えている。現状では、合意形成を支援する技術、リスクの大きさを推定する技術や、対策の組み合わせを決定するための技術などを考えている。ITリスク学の全体構造を構築する技術もここに入れるべきかも知れない。
16
リスクM・A・C
リスクマネジメント・リスクアセスメント・リスクコミュニケーションのリスク学を構成する基本要素。いろいろな方法が提案され一部適用されている。
この3つに関する統合的アプローチが重要と考えており、その一
例に「多重リスクコミュニケータ」の開発がある。
17
多重リスクコミュニケータ(MRC)開発の背景
3.ひとつの対策だけでは目的の3.ひとつの対策だけでは目的の3.ひとつの対策だけでは目的の3.ひとつの対策だけでは目的の達成が困難=>対策の最適な組達成が困難=>対策の最適な組達成が困難=>対策の最適な組達成が困難=>対策の最適な組み合わせを求めるシステムが必要み合わせを求めるシステムが必要み合わせを求めるシステムが必要み合わせを求めるシステムが必要
1.多くのリスク(セキュリティリスク、1.多くのリスク(セキュリティリスク、1.多くのリスク(セキュリティリスク、1.多くのリスク(セキュリティリスク、プライバシーリスクなど)が存在=プライバシーリスクなど)が存在=プライバシーリスクなど)が存在=プライバシーリスクなど)が存在=>リスク間の対立を回避する手段>リスク間の対立を回避する手段>リスク間の対立を回避する手段>リスク間の対立を回避する手段が必要が必要が必要が必要
2.多くの関与者(経営者・顧客・従2.多くの関与者(経営者・顧客・従2.多くの関与者(経営者・顧客・従2.多くの関与者(経営者・顧客・従業員など)が存在=>多くの関与業員など)が存在=>多くの関与業員など)が存在=>多くの関与業員など)が存在=>多くの関与者間の合意が得られるコミュニ者間の合意が得られるコミュニ者間の合意が得られるコミュニ者間の合意が得られるコミュニケーション手段が必要ケーション手段が必要ケーション手段が必要ケーション手段が必要
<MRC><背景>
専門化向け入出力部
最適化エンジンシミュレータ
ネゴシエーション基盤
全体制御部
関与者支援部
専門家
意思決定関与者
ファシリテータ
演算部
DB部
3.ITリスク学の一アプローチ
18
多重リスクコミュニケータ(MRC)開発の背景
<MRC>
専門化向け入出力部
最適化エンジンシミュレータ
ネゴシエーション基盤
全体制御部
関与者支援部
専門家
意思決定関与者
ファシリテータ
演算部
DB部
3.ITリスク学の一アプローチ
適用手順
①①①①専門家が対象を分析し最適組専門家が対象を分析し最適組専門家が対象を分析し最適組専門家が対象を分析し最適組み合わせ問題として定式化する。み合わせ問題として定式化する。み合わせ問題として定式化する。み合わせ問題として定式化する。
②②②②最適化エンジンを用いて、最適最適化エンジンを用いて、最適最適化エンジンを用いて、最適最適化エンジンを用いて、最適組み合わせを求める。(例:対策組み合わせを求める。(例:対策組み合わせを求める。(例:対策組み合わせを求める。(例:対策1と3の組み合わせなど)1と3の組み合わせなど)1と3の組み合わせなど)1と3の組み合わせなど)
③③③③この結果をシミュレータや関与者この結果をシミュレータや関与者この結果をシミュレータや関与者この結果をシミュレータや関与者支援部を用いてわかりやすく表示支援部を用いてわかりやすく表示支援部を用いてわかりやすく表示支援部を用いてわかりやすく表示
④④④④「もっと別の対策案が考える」「もっと別の対策案が考える」「もっと別の対策案が考える」「もっと別の対策案が考える」
とか「制約条件値が違う」などのとか「制約条件値が違う」などのとか「制約条件値が違う」などのとか「制約条件値が違う」などの意見を言う意見を言う意見を言う意見を言う 。。。。 この結果は専門家この結果は専門家この結果は専門家この結果は専門家によって反映され、によって反映され、によって反映され、によって反映され、MRCを用いを用いを用いを用い
て結果が再表示される。て結果が再表示される。て結果が再表示される。て結果が再表示される。
19
適用結果の概要
個人情報漏洩へ
の適用
目的 関与者 分析手法 備考対象
不正コピーによる著作権侵害問題への適用
暗号の危殆化対
策への試適用
1
2
3
レコード
会社
消費者
経営者顧客従業員
政府署名者検証者
従業員の負担も考した対策案の合意形成
FTA
FTA
ETA
FTA: Fault Tree 分析法 ETA:Event Tree 分析法
対策後の不正者の行動を想定した効果予測に基づく合意形成
暗号危殆化時の署名つき文書への安全性対策の合意形成
4
プロバイダ一般企業区役所
ETA
(不正者はシミュレータで実現)
公的資金の適切な運用に関する内部統制対応
内部統制問題への適用
センタ教授学生
CSS2007
で発表予定
CSS2006
で発表
CSS2006
で発表
20
ITリスク学の構成
情報工学・ソフトウェア工学
情報セキュリティ
信頼性・安全性工学
心理学社会学経済学
リスク学
ITリスク心理学
ITリスク学
基礎
応用
事前 事後
ITリスク社会学
ITリスクリテラシイ
危機管理
安全学
ITリスク関連法・ガイド
ITリスク対策基礎技術
ITリスクマネジメント
ITリスクアセスメント
ITリスクコミュニケーション
多重リスクコミュニケータ運用
基盤となる学問
21
4.ITリスク学研究会の進め方(1)
(1)JSSMの中にITリスク学研究会を設立する。
5月末に正式認可。主査:佐々木、幹事:千葉、幹事補佐:芦野と
する。
(2)第一回会合は6月28日に東京電機大学で実施の予定。
(3)研究会自体は年に4回程度。
外部の人の講演と、会員による発表を実施する。
会員による発表はpptを用い、希望者にはPDFをダウンロード可能とするが論文誌は発行しない。発表のうちよいものを、JSSM全国大会での発表や、JSSM誌への投稿を薦める。
(4)メーリングリスト:[email protected]
22
4.ITリスク学研究会の進め方(2)
(4)外部の発表者候補は下記のとおり。
(a)中谷内一也(帝塚山大学教授)「リスクのモノサシ 安全・安心生活はありうるか」NHKブックス、2006の著者
(b)松原純子氏(元原子力安全委員会委員)生物関連のリスク学の専門家
(5)第一回会合には「ITリスク学は可能か」などといったパネルを実施する。
(6)研究会の中にWGを設置し、そこでの検討結果をこの研究会で発表するなどの対応も行いたい。
(7)情報処理学会のSPT研究グループなどとの共同開催も行っていきたい。
23
第一回研究会
1.日時:平成20年6月28日14:00-17:00
2.東京電機大学神田キャンパス11号館大会議室(http://www.dendai.ac.jp/map/kanda2.html)
3.実施項目案(1)特別講演:中谷内一也(帝塚山大学教授)
「リスク心理学の動向」 約1時間(2)佐々木「ITリスク学とITリスク学研究会の進め方の構想」
約30分(3)パネル「ITリスク学はいかにすれば有益なものとなりうるか」
司会:佐々木大木先生、日立千葉氏、日銀岩下氏、トーマツ丸山氏、日経関
口氏 約1時間30分
4.その他登録メンバー以外にも参加を広く呼びかける予定
24
パネルの進め方
• 佐々木の「 ITリスク学とITリスク学研究会の進め方の構想」に続き、大木先生、千葉さんより、ITリスク学のとらえ方と、自分として力を注いで行きたいテーマについて説明を追加する。
• 丸山さん、岩下さん、関口さんのそれぞれの立場からITリスク学のとらえ方に関する意見と、ITリスク学に期待するものを述べる。自分ならITリスクの研究をどのように進めるかがあればさらにうれしい。
• それらを受けて相互に、意見を交換し、 ITリスク学はいかにすれば有益なものとなりうるかを明確にしていく。
25
さらに知りたい人のために
26
リスクへの対応方法
影響
発生率発生率発生率発生率
リスク許容リスク許容リスク許容リスク許容リスク許容リスク許容リスク許容リスク許容
リスク移転リスク移転リスク移転リスク移転(保険など)
リスク移転リスク移転リスク移転リスク移転(保険など)
リスク低減リスク低減リスク低減リスク低減リスク低減リスク低減リスク低減リスク低減
リスク回避リスク回避リスク回避リスク回避(根本的対策)
リスク回避リスク回避リスク回避リスク回避(根本的対策)
大大大大小小小小
小小小小
大大大大
(防止)
(軽減)
27
図5.12 リスクへの対応法
発生確率
影響
大小
大
小
危険だと思う代表例
安全だと思う代表例
安全領域
危険領域
影響x発生確率一定曲線
28図5.3 JIPDECのリスク算出式
<リスク値の計算式>
リスク値=情報資産の価値 X 脅威 X 脆弱性
40542B
36334A
リスク値脆弱性レベル脅威レベル資産価値情報資産
リスク値の大きい情報資産Bに対する対策を優先
<適用例>
29
MRCシステムの構成
専門家向けPC
専門家分析クライアント
MRC用データベースサーバ
WEBブラウザー
一般関与者向けPC
WEBブラウザー
リスク関与者メニュー
ファシリテータ向けPC
WEBブラウザー
プロジェクト管理メニュー
リスク関与者メニュー
プロジェクト管理メニュー専門家メニューリスク関与者メニュー
MRCモジュール Xoops
MySQL Webmathematica等
Mathe-
matica
Javaユー
ザ画面
FTA支援
最適化演算機能等
30図6 MRCプログラムの専門家向け画面イメージ
初期画面
専門家向けクライアント画面
最適化結果
対策案を含むフォルトツリー
31図 合意形成のためのフロー
①専門家による最適解の求解
②求解の前提と第1-第L最適解の表示
ポータルシステムを利用したリスク理解③ポータルシステムを利用した関与者のリスク理解
④目的関数・制約条件式、対策案への合意形成
1st RC
(リスク理解)
⑤パラメタ値、制約条件値の合意形成
⑦専門家による最適解の求解
⑫合意の形成(対策案組合わせ)
yes
専門家による最適解の求解⑥専門家による関与者ごと
の最適解の求解
no
2nd RC
(関与者間の相互理解)
⑧効用関数を利用した
他関与者の希望解の位置づけ
⑪合意形成なし
関与者グループ関与者グループ関与者グループ関与者グループ AAAA
PROJECTPROJECTPROJECTPROJECT ____NO NO NO NO = 1 = 1 = 1 = 1
CASE_NOCASE_NOCASE_NOCASE_NO = = = = 17 17 17 17
10 20 30 40 50 60 70 80 90
90
80
70
60
50
40
30
20
10
効用評価座標平面効用評価座標平面効用評価座標平面効用評価座標平面
絞り込み検索条件結果絞り込み検索条件結果絞り込み検索条件結果絞り込み検索条件結果
グリッドでの効用入力グリッドでの効用入力グリッドでの効用入力グリッドでの効用入力
キャンセル 実行
プロジェクト名
ケース名
処理の流れ処理の流れ処理の流れ処理の流れ
凡 例
関与者グループ A
希望解
他関与者グループ C
処理切替 検索 既存ケース参照 終了 回答入力
3rd RC
(合意形成)
RC:リスクコ
ミュニケーション
⑨関与者間で相互理解できたか
yesno
⑩ファシリテータによる妥協解の提示など
